随笔分类 -  [08]安全测试

该文被密码保护。

摘要：一、背景 公司新产品体验，发现不少交互、UI、功能设计上的小问题。于是花了点时间随意挑了几个功能深入的玩了一下，顺手提了BUG。接口层，看了一下接口文档，简单测了一下接口，BUG其实还挺严重的，后面详细分析，为了顾及服务器后台大佬（架构师）的面子，费时费力在APP测试短信验证码服务器与APP整体处理 阅读全文

摘要：前言 前言 今年的又准时乖巧的观看了315晚会，与大家一同学习了各种发财致富的方式...咳.咳..学习防范违法行骗的各种手段。比较感兴趣的两个，一人脸识别，二公共充电桩安全隐患。第一个今天不扯，第二个问题虽是炒冷饭，但咱也炒炒冷饭，就说说这，搞安卓开发哥们如果你给他USB调试权限，分分钟玩到小白你怀 阅读全文

摘要：整理了一部分安卓代码安全的工具推荐给大家玩玩，提升一下逼格。在这之前给大家讲讲我对安全测试的理解，不管别人怎么扯，一定要找到你自己的理解与划分维度，我的维度划分客户利益与公司利益两个维度。基本体现为传输安全、存储安全两点。 阅读全文

摘要：目录 一、事件回顾 二、什么是MITM攻击 三、MITM攻击-信息窃取实战 四、软件测试的反思 原创,如转载还请保留出处与作者姓名Findyou，谢谢！ 2016年315晚会，现场提供了一个免费WIFI，给现场观众连接。当观众玩手机APP一定时间后(有进行数据请求)，315技术人员收集了观众包括姓名 阅读全文

摘要：Android自动化测试，需要重新签名；反编译修改资源后，打包也需要重签名。当然网上已有很多现成工重签名工具，把APK往里一丢，重签名APK就生成完毕。本文主要是之前学习Android时，反编译重签笔记小小总结，简单讲解重签名原理，如何自己搞定重签名。 阅读全文

摘要：Android反编译有时需要修改个别xml文件，比如Thinkdrive登录Demo环境还是现网环境，在AndroidManifest.xml控制，研发不会耗费时间给你重新编译，因此有了此篇文章的产生，使用apktool反编译xml文件，修改后重新编译，随心所欲。 阅读全文

摘要：APP测试时，有时候不仅仅只限于功能测试，需要理解APP的实现，研发讲解的一般不会全，因此除了研发讲解，另外功能测试完成后，有时间看看源码，结合测试，对自己也是一种提升（非发布一般不会混淆）。APP测试其中安全测试有一项是反编译源码，查看是否代码有做混淆。本文重点介绍反编译JAVA源码工具及方法步骤。 阅读全文

摘要：最近在搞公司的安卓APP测试(ThinkDrive 企邮云网盘)测试，安卓app测试时使用代理抓包，发现所此app使用HTTP传输账号密码，且密码只是普通MD5加密，存在安全隐患，无法防止sniffer攻击、中间人攻击（因此这次安全问题，加强对这两安全术语的了解）： 问题1：账号密码采用http传输 阅读全文

摘要：在使用appscan扫描时，自带浏览器可能存在兼容性问题(比如HTML5)，故需要用到其他浏览器。在做139邮箱HTML5项目，需要使用chrome浏览器进行扫描。因此分享下如何使用外部浏览器，将之前笔记整理文字内容贴出供大家参考。场景一：AppScan标准版本8.0.0.3或更高版本设置第一步：配置使用浏览器a.[工具]>[选项]>[高级]> OpenExternalBrowserb.OpenExternalBrowser值：0=AppScan的浏览器(默认值)，1=IE浏览器(Internet Explore), 2=Firefox, 3=Chrome浏览器第二步：扫描向 阅读全文